Lo stato dei ransomware 2015 (Fox-IT)

E’ stato pubblicato oggi il report sullo stato dei ransomware 2015, scritto dai preparatissimi tecnici olandesi Fox-IT, che ripercorre la storia dei trojan che criptano i documenti e chiedono il riscatto approfondendo in particolare le tre principali famiglie di ransomware attualmente in circolazione: CryptoWall, CTB-Locker e TorrentLocker. Invitiamo a leggerlo dal sito originale al seguente link e ne riportiamo un breve riassunto schematico in italiano, per comodità dei lettori.

I ransomware son noti da anni, ma le prime versioni non facevano altro che bloccare il PC dell’utente e chiedere un piccolo riscatto tramite circuiti come UKASH. Non cifravano i documenti ed erano facili da rimuovere.

La situazione ha cominciato a farsi seria nel 2013 quando il creatore del trojan Zeus, Slavik, ha diffuso la prima versione di CryptoLocker, che invece non blocca il PC ma cripta i documenti, chiedendo poi un riscatto. Da allora, sono nate nuove varianti e nuove famiglie di ransomware, più o meno pericolose.

Il ransomware CryptoWall Interessante l’analisi del trojan CryptoWall, che è in circolazione da novembre 2013 e inizialmente era noto come CryptoDefense. Il trojan si diffonde tramite campagne di spam/phishing email oppure mediante exploit kit. Le prime versioni generavano la chiave di cifratura in locale, per poi evolversi e farsela invece comunicare dal server C&C (Command And Control) utilizzandola quindi per criptare i documenti. La versione attuale – CryptoWall 3.0 – riceve una chiave di 2048 bit dal C&C ma non la usa direttamente per criptare i file, la usa per cifrare una chiave che poi verrà utilizzata tramite algoritmo AES sui documenti dell’utente.

La comunicazione con il centro di controllo avveniva inizialmente tramite proxy che inoltrano poi ad un server dietro la rete Tor. Successivamente, gli sviluppatori del ransomware hanno provato a utilizzare direttamente le reti di anonimizzazione Tor e I2P. Attualmente, però, sembra che CryptoWall sia tornato a comunicare attraverso i proxy, aggiungendo un livello di proxy per confondere le acque. I proxy sono ricavati da siti web bucati (principalmente WordPress e Joomla ma talvolta anche Drupal) e basta che funzionino anche solo per qualche giorno affinché le macchine infettate riescano a farsi inviare le chiavi di cifratura dal C&C nascosto poi dietro la rete Tor.

CryptoWall è anche in grado di disabilitare le Shadow Copies di Windows e il boot screen di Windows Error Recovery, oltre agli update di WIndows e sistemi di sicurezza come Windows Defender. Oltre ai documenti sul PC, CryptoWall cripta anche quelli memorizzati su condivisioni di rete oltre a qualunque dispositivo connesso al PC infettato.

Di alcune varianti di CryptoWall è stato possibile, in passato, decifrare i documenti criptati, a causa di un errore di sviluppo del trojan però prontamente corretto dagli sviluppatori.

CryptoWall si avvale di un programma di affiliazione che permette a chiunque, con una sorta di “franchising”, di noleggiare copie del trojan per diffonderle e richiedere il riscatto su di un proprio conto Bitcoin.

CTB-Locker, invece, viene avvistato per la prima volta nel giugno del 2014. Il nome deriva da Curve, Tor e Bitcoin, perché il trojan fa uso delle curve ellittiche per la crittografia, Tor per la comunicazione con i server di controllo e Bitcoin per il pagamento del riscatto.

Come CryptoWall anche CTB-Locker utilizza Tor ma, a differenza di CryptoWall, la chiave di cifratura non viene ricevuta dal C&C perché viene generata localmente, quindi il trojan può infettare la macchina anche se non vi è connettività.

Anche CryptoWall si diffonde tramite programmi di affiliazione, le cui pagine sono ospitate – così come i server di controllo – sulla rete Tor.

CTB-locker disabilita le Volume Shadow Copies e, come CryptoWall, cripta documenti memorizzati anche su condivisioni di rete oltre a qualunque dispositivo connesso al PC infettato.

TorrentLocker è apparso sulla scena a febbraio 2014 e il nome deriva dal fatto che la chiave di registro utilizzata conteneva la parola “Torrent”. La diffusione del ransomware avviene tramite email di phishing con allegato (o link) malevolo. Gli indirizzi email delle vittime vengono prelevate dalle vittime stesse, accedendo alla loro rubrica Outlook, Thunderbird o Windows Live Mail. Il C&C risiede fuori dalla rete Tor ma la comunicazione con le vittime per la richiesta di riscatto avviene su siti Onion nella rete Tor.

Nota di colore, TorrentLocker si finge CryptoLocker adottandone la grafica sia nelle richieste di riscatto sia nel sito web utilizzato per interagire con le vittime.

Anche TorrentLocker cripta i documenti contenuti su qualunque disco connesso al PC e sulle risorse di rete da esso accessibili.

Termini di ricerca frequenti

Ransomware Più Diffusi Nel 2015
La Storia Dei Ransomware
Torrentlocker
Outlook Ransomware

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Termini di ricerca frequenti

Lascia un commento Annulla risposta